BKA-Ratespielchen rund um GnuPG

Annalist — Sun, 04 Jan 09 02:58:08 +0100

Kann die Verschlüsselungssoftware PGP/GnuPG wirklich davor schützen, dass Unbefugte auf eigene Dateien Zugriff haben? Eine gern und viel diskutierte Frage. Im Dezember sind kistenweise neue Akten angekommen, und wenn stimmt, was da drin steht, dann steht zumindest das BKA dem eher hilflos gegenüber.

Bei den Durchsuchungen am Tag der Festnahmen des aktuellen mg-Verfahrens, dem 31.7.07, sind auch auf Andrejs Rechner verschüsselte Dateien gefunden worden. Schon seit Monaten finden sich in den Briefwechseln der Bundesanwaltschaft (BAW) mit Andrejs Anwältin Sticheleien, dass das Verfahren sicher schneller vorankäme, wenn er mal ein Passwort zu den verschlüsselten Dateien rausrückte. Nebenbei haben sie sich dann etwa ein Jahr später auch selber daran gemacht, die Dateien aufzukriegen, konnten wir nachlesen. Für den Abgleich der DNA brauchen sie ja jetzt auch schon über ein Jahr, das geht alles nicht so schnell.

Und was geschah dann?

Das BKA bekam einen Tip vom Verfassungsschutz, dass es am Seminar für Wirtschaftsinformatik und Informationsmanagement der Uni Köln den Professor Schoder gibt, der da vielleicht behilflich sein könnte. Dankenswerterweise (für's BKA) war auf dem Rechner auch Andrejs privater Schlüssel gefunden worden (immer schön wegräumen!). So besprach sich das BKA mit dem Herrn Schoder und dessen Mitarbeiter Wundram, was zu tun sei.

Herr Wundram, habe ich per Google herausgefunden, ist Referent für die Polizei NRW für IT-Sicherheits-Fortbildungen, vereidigter Sachverständiger für Computersicherheit und Computer-Forensik und iX-Autor. Bei einer Veranstaltung zum Thema "Der gläserne Mensch" hat er auch schonmal ein 'Life-Hacking' vorgeführt.

Die beiden hatten im Grunde aber auch nichts besseres anzubieten, als die Passphrase zu raten, die nötig ist, um mit dem Schlüssel die verschlüsselten Dateien öffnen zu können.

Dazu gibt es halbwegs qualifizierte und vor allem automatisierte Verfahren, zu denen aber nötig ist, den Menschen, dessen Passwort bzw. Passphrase geraten werden soll, einigermassen zu kennen. Wenn man weiß, was der/die gern hat, welche Bücher er oder sie liest, welche Lieder und Gedichte, Farben und Filme er oder sie mag, dann steigt die Chance, die Computer rauskriegen zu lassen, was das Passwort sein könnte.

Der Herr Professor bot an, seinen Assistenten für ein paar Tage vorbeizuschicken, um erstmal die Lage zu eruieren. Zu einem einigermaßen happigen Stundensatz, ningelte das BKA im Bericht. Vor allem hat sie gestört, dass der Stundensatz für den Herrn Professor viel höher sein sollte als für den Assistenten, obwohl der Professor gar nicht mitkommen, sondern bloss die Projektleitung innehaben sollte. Als Ergebnis sollten Erfolgsaussichten, Kosten und Dauer besser einschätzbar werden. Eine "gewisse Chance" sei schon da, aber es würde sicher ganz schön dauern. Für eine (!) Datei.

Später, nach der Sichtung, hätten die 'leistungsstarken Großrechner' der Uni Köln dann Andrejs Privatangelegenheiten berechnen sollen.

Nun hätten das auch die im BKA-Rechenzentrum für sowas vorhandenen Rechner machen können (ich schreib hier nicht, wieviele das sind, wer weiss, was das nach sich zieht. Aber viele sind es nicht). Die knappen personellen Ressourcen jedoch, und die Tatsache, dass die BKA-Rechner dafür SEHR lange gebraucht hätten, ließen wohl nach Alternativen suchen.

Als nächstes haben die BKA'lerInnen dann beim BSI nachgefragt. Die konnten auch nichts Neues beitragen: so allgemein ginge das nicht zu sagen, wie sicher PGP sei: das ist alles relativ (und hängt z.B. von Schlüssellänge, Länge und Komplexität des Passworts etc. ab). Wenn das Passwort kurz sei, einfach oder 'nach einem simplen Schema' gebildet wurde, dann bestünde eine minimale Chance, mit Raten weiterzukommen. Daran würden dann auch 'sehr hohe Rechenkapazitäten' nichts ändern.

Nun fand das BKA, dass es wirklich allein nicht weiterkommt, und beantragte bei der BAW, den Herrn Professor beauftragen zu dürfen.

Hmm, njaa, sagte der zuständige Staatsanwalt. Aber nur, wenn es nicht zu teuer wird. Die professoralen Stundensätze müssten schon mit dem JVEG zu vereinbaren sein - und das waren die im ersten Kostenvoranschlag jedenfalls nicht.

Was dann geschah, wissen wir nicht.

(irgendwo, meine ich, stand auch, dass es quasi aussichtslos sei, wenn die Passphrase länger als 8 Zeichen ist und Sonderzeichen enthält, aber die Stelle finde ich nicht mehr. Wenn wir sie wiedergefunden haben, aktualisiere ich hier und mache das per Twitter bekannt.)

Bild: TheSkorm